Pada 14 Feb 2023, penyelidik Hacken menjalankan ujian dan mengenal pasti pepijat dalam sistem Bukti Rizab berasaskan Binance zkSNARK.
Hacken menerbitkan lengkap melaporkan penilaian tersebut, mengumumkannya pada Twitter mereka, dan segera memberi penghargaan kepada pasukan Binance untuk menyelesaikan isu tersebut.
Naik taraf pengesahan rizab bukti Binance
Binance mengumumkan peningkatan pada pengesahan bukti rizabnya untuk memasukkan zk-SNARK. Peningkatan ini dijangka meningkatkan ketelusan dan keselamatan sistem pengesahan pada 10 Feb 2023.
. Sistem Bukti Rizab berasaskan zkSNARK peningkatan juga termasuk penambahan protokol bukti sifar pengetahuan kepada kriptografi pokok Merkle sedia ada Binance. Ciri baharu itu menangani kemungkinan akaun palsu dan baki negatif serta memelihara keselamatan dan privasi pengguna semasa transaksi.
Sebelum ini, Binance bergantung pada kriptografi pokok Merkle biasa untuk keselamatan dan ketelusan sistem.
Pelbagai rantaian blok mengguna pakai sistem bukti rizab berasaskan pokok Merkle untuk meningkatkan ketelusan industri selepas kejatuhan FTX. Binance juga menjadikan projek sumber terbuka untuk memberi manfaat kepada seluruh industri crypto dan memastikan pengguna berasa SAFU.
Pengenalpastian pepijat
Pasukan Hacken telah melalui semua 1157 kebergantungan pada projek itu dan mendapati 42 kelemahan, dengan 16 terdedah kepada eksploitasi awam. 20 kebergantungan mempunyai kelemahan yang teruk, manakala 20 mempunyai keterukan sederhana.
Daripada kelemahan yang teruk, pasukan mengenal pasti dua kelemahan ketara pada pokok jumlah Merkle; keseimbangan negatif dan privasi.
Pembangun Binance segera bertindak balas terhadap pemerhatian dengan menghasilkan bukti zk-SNARK. Bukti mengandungi kumpulan 864 pengguna, dan masing-masing saling berkait melalui cincang Poseidon.
Para penyelidik Hacken juga mendapati bahawa Bukti Rizab Binance mempunyai kelemahan yang boleh membenarkan penjanaan hutang pengguna palsu tidak dapat dikesan oleh pihak ketiga dan kemungkinan mewujudkan hutang palsu.
Pasukan tiga penyelidik keselamatan dan pembangun blokchain diketuai oleh Luciano Ciattaglia menyemak kod sumber dan menemui pepijat dalam sistem yang membenarkannya memintas penegasan totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
Pasukan itu mencipta kalis palsu dengan menetapkan BasePrice pada nilai yang sangat tinggi kerana parameter itu tiada pengesahan CheckValueInRange, iaitu, penggodam boleh mencipta bukti palsu tanpa pengesanan sistem. Sebaliknya, BasePrice ialah entiti awam, dan mudah untuk dikesan apabila ia dikompromi.
Pepijat limpahan BasePrice bermakna seseorang boleh menukar BasePrice tanpa pengesanan, yang boleh mengurangkan liabiliti terbukti pertukaran.
Tindak balas Binance
Hackens menghubungi Binance selepas menemui pepijat yang mematuhi dedikasi mereka untuk memastikan ketelusan dalam pertukaran. Pembangun Binance bertindak balas serta-merta dengan membetulkan pepijat dan mengumumkan pada mereka pemegang Twitter rasmi.
Pembangun Hacken mencadangkan Binance menambah CheckValueInRange untuk BasePrice untuk mengelakkan limpahan, yang mana pasukan Binance menyemak dan menggabungkan komitmen Hacken ke dalam cawangan utama Binance. Binance membetulkan semua kelemahan kritikal dan sederhana yang dikenal pasti.
Walau bagaimanapun, Binance tidak boleh mengesahkan sebarang bukti yang dijana sebelum ujian sebagai sah, kerana pepijat kritikal membenarkan mengganggu jumlah hutang. Pengguna tidak boleh mengesahkan bahawa sebarang bukti sebelum ujian tidak terjejas disebabkan oleh kelemahan.
Blockchain juga mengiktiraf kerja Hacken sebagai contoh cemerlang kuasa maklum balas komuniti. Binance juga menyediakan platform di mana pengguna boleh melaporkan atau memberi maklum balas pada mana-mana produk Binance.
Sumber: https://crypto.news/hacken-boost-binance-proof-of-reserves-security/